sudo ufw deny from 91.241.19.84 to any
или
sudo ufw reject from 91.241.19.84 to any
Разница лишь в том, будет ли забанненый IP получать респонс от сервера что он забанен или нет.
Пользователь добавил сообщение 21 Ноября 2020, 21:27:36:
sudo ufw status numbered | grep 91.241.19.84
[198] Anywhere REJECT IN 91.241.19.84
Остальные банятся только потому, что они ломяться в порты, которые не разрешены, а этот - в тот порт, который открыт, поскольку он у тебя 198м идет, то скорее всего он читает твой сервер по какому то порту, открытому выше в 197 правилах. Короче, читай мануал о iptables, и о приоритете правил и как это работает.
Пользователь добавил сообщение 21 Ноября 2020, 21:29:36:
Стоит фэйл2бан, вот лог от туда:
ну и отлично, fail2ban его блокирует, чем ты недоволен то?
Ок, почитаю.
Открыт 80 порт, в логе он по 80 долбиться. В него ломяться в день по 30 шт., но все сидят там на вечно.
Не блокирует он его. Я вчера грепнул айпи и последняя в списке дата была 21, ее и скопировал. С этого айпишника ломиться раз в сутки стабильно по 80 посту. В логе фэйл2бана каждый раз, каждый день already banned. На следующий день грепаешь лог апача, там новая попытка и так каждый день. Это уже длится недели, полторы.
"скорее всего он читает твой сервер по какому то порту, открытому выше в 197 правилах." Если я правильно понял, то это вряд ли , так как если взять фэйл2бан фильтр УФВ:
actionban = [ -n "<application>" ] && app="app <application>"
ufw insert <insertpos> <blocktype> from <ip> to <destination> $app
insertpos = 1
Попробовал вчера sudo ufw insert 1 deny from 91.241.19.84 to any.
Лог:
IP:80 91.241.19.84 - - [22/Nov/2020:13:36:51 +0100] "POST /mifs/.;/services/LogService HTTP/1.1" 403 4600 "
https://89.185.227.105:443" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36"
IP:80 91.241.19.84 - - [22/Nov/2020:13:36:51 +0100] "POST /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 403 4600 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36"
IP:80 91.241.19.84 - - [22/Nov/2020:13:36:54 +0100] "POST /api/jsonws/invoke HTTP/1.1" 403 4600 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36"
IP:80 91.241.19.84 - - [22/Nov/2020:13:36:54 +0100] "GET /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 403 4600 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36"
Fail2ban log:
2020-11-22 13:36:58,491 fail2ban.filter [6565]: INFO [apache403] Found 91.241.19.84 - 2020-11-22 13:36:58
2020-11-22 13:36:58,610 fail2ban.actions [6565]: WARNING [apache403] 91.241.19.84 already banned
Спасибо за хэлп все равно
.
Пользователь добавил сообщение 22 Ноября 2020, 20:14:43:
91.241.19.84
[54] Anywhere DENY IN 91.241.19.84
[1612] 80/tcp ALLOW IN Anywhere
UFW всегда добавляет deny в начало списка, а allow в конце.